2.1.1. Présentation des moteurs

Le GCenter utilise plusieurs moteurs différents pour les détections suivantes :

Type de détection	Moteur	Moment de la détection	Voir le
Analyse anti-virale des fichiers	Malcore	immédiate sur le fux réseau	Moteur Malcore
Analyse anti-virale des fichiers	Malcore retroanalyzer	en temps différé après mise à jour de la base de données du moteur Malcore	Moteur Malcore
Powershell	Malicious Powershell detect	immédiate sur le fux réseau	Moteur malicious Powershell detect
Shellcode	Shellcode detect	immédiate sur le fux réseau	Moteur Shellcode detect
Recherche dans le fux réseau des caractéristiques d'attaques définies dans des règles	Sigflow	immédiate sur le fux réseau	Moteur Sigflow
Noms de domaine malicieux	DGA detect	immédiate sur le fux réseau	Moteur DGA detect
Recherche dans le fux réseau des Indices de compromissions d'attaques définies dans des règles	Active CTI	immédiate sur le fux réseau	Moteur Active CTI
Recherche dans le fux réseau des Indices de compromissions d'attaques définies dans des règles	Retrohunt	en temps différé après mise à jour de la base de données du moteur Retrohunt	Moteur Retro hunt
Recherche les exécutions de ransomware	Ransomware detect	immédiate sur le fux réseau	Moteur Ransomware detect
Recherche les communications avec un serveur malveillant lors d’une attaque de commandement et contrôle (C&C)	Beacon detect	immédiate sur le fux réseau	Moteur Beacon detect
Détecte les malwares en utilisant des règles	Yara	immédiate sur le fux réseau	Moteur Yara

2.1.1.1. Détection par GScan

Des fichiers peuvent soumis manuellement à GScan.

Les options suivantes sont possibles :

Malware : soumet les fichiers au moteur Malcore
Powershell : scanne les fichiers contenant des scripts Powershell et détecter les potentielles menaces pouvant servir de porte d'entrée pour installer des logiciels malveillants sur Windows.

En ce qui concerne les powershells malveillants, la détection se base sur un modèle de Machine Learning supervisé, et sur le fait que ces scripts utilisent généralement des techniques d'offuscation ou qui s'y apparentent (base64, concaténation, conversion de type, etc).
Shellcode : scanne les fichiers afin de detecter les Shellcodes (un code binaire conçu pour être injecté et exécuté dans un programme en exploitant une vulnérabilité).